パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

秘密の質問の答えはパスワードのように扱うべき?」記事へのコメント

  • 「パスワードのようにランダムな文字列を設定する」のならば、
    もはやそれは「質問」である意味が無いのだから
    質問じゃなくて二次パスワードもしくはアカウント情報更新専用パスにすればいいんじゃないのかな。

    「どのサイトでどの質問を選んだか」をそらで覚えてられる人は少ないだろうから
    メモしておかないといけない項目も増えてしまうし。

    --
    --------------------
    /* SHADOWFIRE */
    • by Anonymous Coward

      システムを構築する側がどうするかという話ではありません。
      そもそも構築する側なら、こんなセキュリティホールにしかならない機能は採用しなければよいだけ。
      自分が利用するシステムで、どうしてもこういった機能の使用を求められた場合に、どう自衛するのかという話です。

      • by Anonymous Coward

        今は終了したとあるサービスでは、質問の最後の選択肢が「自己責任で忘れないようにするので、デタラメな文字列を入れます」(大意)だったし、セキュリティのためパスワードと同様秘密の質問もハッシュ化していると言っていた。

        • 秘密の質問の回答は普通ハッシュ化して保存する(で、このとき正規化して空白を抜いたり、全角に揃えたり、濁音を結合用記号に分けたりしないと入力方法によってズレる)けど、秘密の質問をハッシュ化したら、画面に表示できないじゃん。

          秘密の質問もユーザに入力させるの?

          • by Anonymous Coward on 2016年10月03日 10時49分 (#3090155)

            秘密の質問を自分で書くタイプのもありましたね(現存するかは知らない)。

            別の話だけど、
            「半年以上アクセスしなかったら必ず秘密の質問に回答しないとパスワード入力画面にすら行けない」というシステムがあり
            パスワードは別に記録してあって分かるんだけど
            (選択式の)どの質問でどんな回答を設定したのかさっぱり覚えていないのでアクセス不可になっちゃった、ってのがあったなぁ。

            親コメント
            • by Anonymous Coward

              ねんきんネットがそうですね。

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...